Denuncia mediante canales de denuncia interna y protección de datos

Denuncia interna y protección de datos

Tanto para los procedimientos de denuncia interna como externa que posteriormente analizaremos, la Directiva 2019/1937 fija tres aspectos en común: Deber de confidencialidad (Art. 16 Directiva (UE) 2019/1937), tratamiento de datos (Art. 17 Directiva (UE) 2019/1937) y Registro de las denuncias (Art. 18 Directiva (UE) 2019/1937).

El establecimiento de sistemas internos de denuncias o de “whistleblowing”, configurados a través de la creación de buzones internos a través de los cuales los empleados de la compañía, generalmente por un procedimiento "on line", ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o administradores, entraña el tratamiento y la protección de datos, pero para ello es necesario que se adecúen a los principios establecidos en esta normativa (STSJ Canarias n.º 552/2016, de 22 de junio de 2016, ECLI:ES:TSJICAN:2016:2117). En concreto, como una de las novedades desarrollada normativamente por la LOPDGDD complementando el RGPD, el art. 24 de la norma específica:

“1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.

Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.”

A lo anterior hemos de adicionar el citado Dictamen 1/2006 del GT29 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades, donde esta posibilidad se extiende a los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros. En este punto, el GT29 es consciente de que “los programas de denuncias de irregularidades plantean dificultades específicas en algunos países de la Unión Europea en relación con aspectos del derecho laboral, y de que el trabajo continúa en estas cuestiones y requerirá mayor atención”.

Es decir, atendiendo a la normativa citada y AEPD, en relación con las denuncias presentadas a través de los sistemas de “whistleblowing”:

- Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

- El acceso a los datos contenidos en estos sistemas quedará limitado “exclusivamente” a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas en los siguientes casos: 

a) Cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales.

b) Cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

- Debería partirse del establecimiento de un procedimiento que garantice el tratamiento confidencial.

- Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

-  Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.

- Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD, "salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada". (Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021)).

- La LOPDGDD incluye también la posibilidad de presentar denuncias anónimas, dada la realidad en el día a día de las organizaciones. Pero ha de tenerse presente el criterio mantenido tanto por el GT29 como por la AEPD. Reflejado en la Guía de la AEPD para la protección de datos en las relaciones laborales:

“La protección de datos en las relaciones laborales”: “Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado. Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.

Ejemplo: Pueden adoptarse medidas como: 1) limitar el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad; 2) establecer un sistema de registro de accesos, aun cuando no corresponda aplicar las medidas de nivel alto del RLOPD; 3) firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto”.

Como nota de actualidad en este punto, merece la pena destacar la reciente STC n.º 146/2019, de 25 de noviembre de 2019,  ECLI:ES:TC:2019:146, donde el Tribunal Constitucional ha declarado nulo el despido de un enfermero de un centro de día para personas dependientes que se quejó ante el Ayuntamiento de deficiencias en su empresa, adjudicataria de la gestión de la residencia, al estimar que hubo una "injustificada limitación" de su derecho a la libertad de expresión, en la medida en que condicionó su ejercicio a que las críticas del trabajador respecto a su empresa tuvieran como único y posible receptor la mercantil.

El TC entiende que la conducta del trabajador "se desarrolló en todo momento dentro de los márgenes que delimitan el legítimo ejercicio de su derecho fundamental a la libertad de expresión reconocido en el art. 20.1 a) CE, tanto en lo que se refiere a los límites genéricos, como a los específicos derivados del vínculo contractual", por lo que para el intérprete de la Constitución la interpretación del derecho fundamental realizada por la sentencia recurrida, al haber exigido que la crítica realizada no trascendiera más allá de la empresa, despojó al trabajador de la libertad de expresión que le reconoce el art. 20.1 a) CE, haciendo que tal derecho cediera ante un deber de lealtad entendido en términos absolutos de «sujeción indiferenciada del trabajador al interés empresarial» que no se ajusta al sistema constitucional de relaciones laborales.

La Sentencia analizada adquiere especial relevancia tras la publicación la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, toda vez que el texto, pendiente de transposición supondrá –como hemos visto– una protección para la persona trabajadora que realice denuncias como la relatada en el caso analizado, y que, por suponer un contrapunto a la STC n.º 126/2003, de 30 de junio de 2003, donde en un caso similar se deniega amparo al haber acudido a la prensa con sus quejas sin esperar el "feedback" de su empresa, evidencia que en la aplicación de los nuevos derechos, las formas, y en concreto la utilización de los canales estandarizados en cada caso, van a importar.

A TENER EN CUENTA. Cualquier canal de denuncias implantado en la empresa ha de cumplir los requisitos establecidos en el art. 24 LOPDGDD para ser lícito. La complejidad de la gestión de la información obtenida por estos canales quedo reflejada en el Informe Jurídico 128/2007 de la Agencia Española de Protección de Datos (AEPD).

Tratamiento de datos y confidencialidad

Todo tratamiento de datos personales realizado en aplicación de la Directiva “whistleblowing”, incluido el intercambio o transmisión de datos personales por las autoridades competentes, se realizará de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680. Todo intercambio o transmisión de información por parte de las instituciones, órganos u organismos de la Unión se realizará de conformidad con el Reglamento (UE) 2018/1725.

No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

En el ámbito nacional, el citado art. 24 LOPDGDD, limita el acceso a los datos contenidos en estos sistemas "exclusivamente" a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Todo ello, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

La Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021) desarrolla algunos aspectos de interés:

• Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado se producirá una comunicación de datos, de la que el afectado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del grupo.
• En todo caso deberá garantizarse los derechos de acceso, rectificación, supresión (borrado) y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses.

Registro de las denuncias y conservación de datos

Los Estados miembros velarán por que las entidades jurídicas de los sectores privado y público y las autoridades competentes lleven un registro de todas las denuncias recibidas, en cumplimiento de los requisitos de confidencialidad tratados. Las denuncias se conservarán únicamente durante el período que sea necesario y proporcionado a efectos de cumplir con los requisitos impuestos por la presente Directiva, u otros requisitos impuestos por el Derecho de la Unión o nacional. 

Siguiendo el mandato europeo, el art. 24.4LOPDGDD, fija:

• Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
• Transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Este punto ha sido ratificado por en la Guía «La protección de datos en las relaciones laborales» de la AEPD (mayo 2021): "la conservación del dato debe limitarse al tiempo necesario para la investigación de los hechos y, sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado, sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.".
• Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el art. 32 LOPDD.
• Transcurrido el plazo de tres meses mencionado, los datos podrán seguir siendo tratados, por el órgano al que corresponda (art. 24.2 LOPDD), la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

En lo referente para al registro de denuncias, la Directiva “whistleblowing” concreta algunos aspectos de interés sobre el canal utilizado:

a) Cuando para la denuncia se utilice una línea telefónica u otro sistema de mensajería de voz con grabación, a reserva del consentimiento del denunciante, las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la denuncia verbal de una de las maneras siguientes:

• Mediante una grabación de la conversación en un formato duradero y accesible.
• A través de una transcripción completa y exacta de la conversación realizada por el personal responsable de tratar la denuncia.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma la transcripción de la llamada.

b) En los casos en que para la denuncia se utilice una línea telefónica u otro sistema de mensajería de voz sin grabación, las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la denuncia verbal en forma de acta pormenorizada de la conversación escrita por el personal responsable de tratar la denuncia. Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma el acta de la conversación.

c) Cuando una persona solicite una reunión con el personal de las entidades jurídicas de los sectores privado y público o de las autoridades competentes con la finalidad de denunciar (arts. 9.2 y 12.2 Directiva (UE) 2019/1937), las entidades jurídicas de los sectores privado y público y las autoridades competentes garantizarán, a reserva del consentimiento del denunciante, que se conserven registros completos y exactos de la reunión en un formato duradero y accesible.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes tendrán derecho a documentar la reunión de una de las maneras siguientes:

• Mediante una grabación de la conversación en un formato duradero y accesible, o,
• A través de un acta pormenorizada de la reunión preparada por el personal responsable de tratar la denuncia.

Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma el acta de la reunión.

¿Cuál es el plazo de conservación de los datos personales asociados a una denuncia interna?

Como hemos analizado, los datos se conservarán “únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados”. Fijándose, con carácter general un plazo máximo de tres meses desde la introducción de la información.

En el caso de denuncias a las que no se haya dado curso, únicamente podrán conservarse anonimizados, sin necesidad de bloquearlas.